Citrix Virtual Apps and Desktops

HDX Direct (Tech Preview)

Al acceder a recursos entregados por Citrix, HDX Direct permite que los dispositivos cliente establezcan una conexión directa segura con el VDA si hay una línea de visión directa.

Importante:

HDX Direct se encuentra actualmente en Tech Preview. Para enviar comentarios o notificar problemas, use este formulario.

Requisitos

Estos son los requisitos para usar HDX Direct:

  • Plano de control

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 o una versión posterior
  • Virtual Delivery Agent (VDA)

    • Windows: Versión 2303 o una posterior
  • Aplicación Workspace

    • Windows: Versión 2303 o una posterior
  • Nivel de acceso

    • Citrix Workspace
    • Citrix Gateway Service
    • NetScaler Gateway
  • Firewall

    • Máquina VDA

      • TCP 443 entrante (ICA por TCP)
      • UDP 443 entrante (ICA por EDT)
    • Red

      Protocolo Puerto Origen Destino
      TCP 443 Cliente VDA
      UDP 443 Cliente VDA

Configuración

HDX Direct está inhabilitado de forma predeterminada. Puede configurar esta función mediante la configuración HDX Direct de la directiva de Citrix.

  • Permitido: HDX Direct está habilitado e intenta establecer una conexión directa con el host de la sesión cuando se conecta una sesión.
  • Prohibido: Configuración predeterminada. HDX Direct está inhabilitado e impide que el cliente intente conectarse directamente al host de la sesión cuando se conecta a través de un dispositivo Gateway.

Para confirmar que HDX Direct haya establecido correctamente una conexión directa, use la utilidad CtxSession.exe en la máquina VDA.

Para usar la utilidad CtxSession.exe, inicie un símbolo del sistema o PowerShell dentro de la sesión y ejecute ctxsession.exe -v. Si se estableció correctamente una conexión de HDX Direct, verá lo siguiente:

  • Protocolo de transporte

    • UDP > DTLS > CGP > ICA (si usa EDT)
    • TCP > SSL > CGP > ICA (si usa TCP)
  • La dirección remota y la dirección del cliente son las mismas

    Dirección remota y de cliente de HDX Direct

Consideraciones

Estos son los aspectos a tener en cuenta al usar HDX Direct:

  • Cuando utilice máquinas no persistentes para sus aplicaciones y escritorios virtuales, no habilite HDX Direct en la imagen maestra o de la plantilla para no generar certificados para la máquina virtual (VM) maestra.

Funcionamiento

HDX Direct permite a los clientes establecer una conexión directa con el host de la sesión cuando hay una comunicación directa disponible. Cuando se realizan conexiones directas mediante HDX Direct, se utiliza el cifrado al nivel de la red (TLS/DTLS) para protegerlas y se aprovechan certificados autofirmados.

Hay tres etapas que abarcan diferentes partes de la función: el preinicio, el inicio y el posinicio.

Etapa de preinicio

Esta es la primera etapa, que abarca la creación y la administración de certificados. Estas tareas las gestionan estos servicios de la máquina VDA, los cuales están configurados para ejecutarse automáticamente al iniciar la máquina:

  • Citrix ClxMtp Service: Responsable de la generación y la rotación de certificados de CA.
  • Citrix Certificate Manager Service: Responsable de la generación y la administración del certificado de CA raíz autofirmado, las claves de los certificados de la máquina y los certificados de la máquina.

A continuación, tiene una descripción general del proceso de administración de certificados:

  1. Los servicios se inician al iniciar la máquina.
  2. Citrix ClxMtp Service crea claves si aún no se ha creado ninguna.
  3. Citrix Certificate Manager Service comprueba si HDX Direct está habilitado. De lo contrario, el servicio se detiene solo.
  4. Si HDX Direct está habilitado, Citrix Certificate Manager Service comprueba si existe un certificado de CA raíz autofirmado. De lo contrario, se crea un certificado raíz autofirmado.
  5. Una vez que haya un certificado de CA raíz disponible, Citrix Certificate Manager Service comprueba si existe un certificado de máquina autofirmado. De lo contrario, el servicio genera claves y crea un certificado mediante el FQDN de la máquina.
  6. Si existe un certificado de máquina creado por Citrix Certificate Manager Service, y el nombre del asunto no coincide con el FQDN de la máquina, se genera un certificado nuevo.

Nota:

Citrix Certificate Manager Service genera certificados RSA que emplean claves de 2048 bits.

Etapa de inicio

Para establecer correctamente una conexión segura de HDX Direct, el cliente debe confiar en los certificados utilizados para proteger la sesión. Para facilitar esto, el VDA envía al intermediario la información de su certificado durante la intermediación de una sesión. Luego, el intermediario envía esta información a Workspace para incluirla en el archivo ICA que se envía al cliente para iniciar la sesión.

Etapa de posinicio

Cuando la intermediación de una sesión se haya realizado correctamente, se iniciará la sesión. A continuación, tiene una descripción general del proceso de conexión de HDX Direct:

Proceso de conexión de HDX Direct

  1. El cliente establece una conexión con el VDA a través de Gateway Service.
  2. Tras una conexión correcta, el VDA envía al cliente el FQDN de la máquina VDA y una lista de sus direcciones IP.
  3. El cliente sondea las direcciones IP para ver si pueden comunicarse directamente con el VDA.
  4. Si el cliente puede acceder al VDA directamente con cualquiera de las direcciones IP compartidas, establece una conexión directa segura con el VDA.
  5. Una vez que la conexión directa se haya establecido correctamente, la sesión se transferirá a la nueva conexión, y finalizará la conexión con Gateway Service.

Problemas conocidos

Estos son los problemas conocidos de HDX Direct:

  • La conexión de HDX Direct puede fallar cuando Rendezvous está inhabilitado.
  • La conexión de HDX Direct puede fallar al iniciar sesiones desde un sitio local de Citrix Virtual Apps and Desktops 2303.
  • La aplicación Workspace puede cerrarse de forma inesperada si el VDA se ejecuta en Windows 11.
HDX Direct (Tech Preview)